20.03.2026, Bayerisches Landeskriminalamt

373.000+ Seiten.​

122 Plattformvarianten.​

32 einschlägige Plattformen.​

1 Operation.

// Kapitel 01 — Der Anfang

Ein Name.

Eine Plattform.

Der Start einer langen Jagd.

Es begann mit einer einzelnen Adresse im Darknet – und endete mit einer der größten Abschaltungen von Darknet-Seiten in der Geschichte europäischer Strafverfolgung.

Mitte 2021 stoßen Spezialisten des Dezernats Cybercrime beim Bayerischen Landeskriminalamt (BLKA) und der Generalstaatsanwaltschaft Bamberg – Zentrum zur Bekämpfung von Kinderpornografie und sexuellem Missbrauch im Internet (ZKI) auf eine Plattform namens "Alice with Violence CP". Was dort beworben wurde, klang nach einem Marktplatz: kinderpornografische Inhalte gegen Bezahlung in Bitcoin. Doch je tiefer die Ermittler gruben, desto klarer wurde: Das hier war nur ein Einstiegspunkt in ein enormes, breitgefächert gewobenes Netz.

Was als Untersuchung einer einzelnen Plattform begann, wuchs über Jahre zu einer Operation, die sich schließlich auf fünf Kontinente, 23 Staaten und über 373.000 Darknet-Seiten erstrecken sollte – alles betrieben von einem einzigen Täter.

Es war ein kriminelles Geschäftsmodell, das auf Gier, Gewaltfantasien und digitaler Tarnung aufbaute – und am Ende an seinen eigenen Daten scheiterte.

// Was ist das ZKI?
Das Zentrum zur Bekämpfung von Kinderpornografie und sexuellem Missbrauch im Internet (ZKI) bei der Generalstaatsanwaltschaft Bamberg ist die spezialisierte staatsanwaltschaftliche Stelle in Bayern für Verfahren dieser Art. Es begleitete die Ermittlungen des BLKA von Beginn an auf juristischer Ebene.

 

„Auf den ersten Blick: Chaos. Auf den zweiten Blick: Struktur. Und Strukturen hinterlassen Spuren."

— Ermittler des BLKA, Dezernat Cybercrime

// Strafrechtlicher Hintergrund

Die strafrechtliche Dimension dieses Verfahrens ist zweigeteilt — weil es zwei klar unterschiedliche Rollen gab: die der Nutzer und die des Betreibers.

Den Nutzern wird die Besitzverschaffung kinderpornografischer Inhalte gem. § 184b StGB zur Last gelegt. Dass die Seiten letztlich betrügerisch waren und trotz Zahlung kein Material geliefert wurde, ändert daran nichts: Der strafrechtlich relevante Moment war der Versuch, sich solche Inhalte zu verschaffen — nicht ob er erfolgreich war.

Für den Betreiber gilt ein anderer, erheblich schwererer Vorwurf. Er hat diese Infrastruktur nicht nur genutzt — er hat sie über Jahre systematisch aufgebaut, betrieben und davon profitiert. Ihm werden gewerbsmäßiger Betrug gemäß § 263 StGB in einer Vielzahl von Fällen gewerbsmäßige Verbreitung kinderpornografischer Inhalte gemäß § 184b StGB vorgeworfen. Das Wort „gewerbsmäßig" ist dabei entscheidend: Es beschreibt jemanden, der aus der Begehung von Straftaten eine dauerhafte Einnahmequelle gemacht hat — über Jahre, mit Absicht, in industriellem Maßstab.

 

// Kapitel 02 — Das Netzwerk

1 Täter.

373.000+ Seiten.

122 Varianten.

Im Verlauf der Ermittlungen zeigte sich die wahre Dimension: Der mutmaßliche Täter hatte nicht eine Plattform gebaut, sondern ein ganzes Darknet-Geflecht. Im Kern standen 122 unterschiedliche Plattformvarianten, die tausendfach im Tor-Netzwerk repliziert wurden – das Ergebnis: über 373.000 individuelle .onion-Adressen.

Zwischen Februar 2020 und Juli 2025 betrieb der Täter 32 CSAM-Plattformen (Child Sexual Abuse Material / Kindesmissbrauch), erreichbar über mehr als 90.000 .onion-Domains. Pakete wurden zu Preisen zwischen 20 und 250 USD angeboten – angeblich mit Dateiumfängen von wenigen Gigabyte bis zu mehreren Terabyte.

Die Plattformen beschränkten sich nicht auf kinderpornografische Inhalte. Auf den restlichen 90 Plattformvarianten, erreichbar auf 283.000 .onion Domains, wurden Cybercrime-as-a-Service-Leistungen angeboten – gefälschte Kreditkartendaten, Zugänge zu kompromittierten Systemen. Das Ziel war immer dasselbe: Nutzer zur Zahlung animieren, ohne Gegenleistung zu erbringen.

„Der Umfang war beispiellos. Selbst einen Bruchteil dieser Domains manuell zu überwachen wäre schlicht nicht möglich gewesen. Für die Ermittler war dies jedoch kein Hindernis – vielmehr der Ausgangspunkt für neue, erfolgreiche Ermittlungsansätze."

— BLKA, Dezernat Cybercrime

32

Einschlägige Plattformen — offensichtlich betrieben von einem einzigen Täter

Folgende Plattformen waren im Zeitraum Februar 2020 bis Juli 2025 in Betrieb. Wer eine dieser Seiten kennt, aufgerufen oder darauf gezahlt hat — und bislang nicht von Ermittlungsbehörden kontaktiert wurde — sollte wissen: Die Ermittlungen sind nicht abgeschlossen. Die Veröffentlichung dieser Namen dient ausdrücklich dazu, weitere Hinweise zu ermöglichen und Personen, die noch nicht identifiziert wurden, auf die laufenden Ermittlungen aufmerksam zu machen. (Anmerk.: CP steht im folgenden für "Child Porn")

Alice with Violence CP     Best CP Pack     BIG Rape

Cheap Hardcore / Cheap Whores     Child Porn Center

Child Porn HD Videos (2020–2025)     Child Porno Station

CP Video HD (2020–2025)     CP Videos     Exclusive Baby Bitch CP

I Am Pedophilia     Jailbait PTC OPVA     Little Cams

Little Love     Little Porn Whore     Lolita Child Porn

Lolitas     Pedo Lola     Playground Molly

Porn Videos – XONIONS     PureYoung Original

Raped Bitch     Teen Deepthroat     Underage Cam Girls

Violent Sex / Rape / Sadomasochism     Fans of Zoophilia

+ 6 weitere Plattformvarianten

// Hintergrund — So funktioniert das Darknet

TOR & .onion: Gebaut für Anonymität.

Um OP Alice zu verstehen, muss man die Technologie kennen, die der Täter ausnutzte. Das Tor-Netzwerk ist darauf ausgelegt, Online-Aktivitäten nicht zurückverfolgbar zu machen. .onion-Adressen sind seine versteckte Schicht.

// Kein Zufall: Darknet-Zugriff erfordert Vorsatz

Auf .onion-Adressen stößt man nicht zufällig. Sie sind lange, komplexe Zeichenketten, die gezielt in kriminellen Netzwerken geteilt werden. Wer diese Seiten aufrief und eine Zahlung veranlasste, tat dies mit klarer Absicht. 

 

// Kapitel 03 — Die Technologie

Die Ermittler hatten bessere Werkzeuge.

373.000 Darknet-Seiten manuell zu überwachen wäre in absehbarer Zeit schlicht nicht möglich gewesen. Das BLKA setzt bei Verfahren dieser Komplexität auf ein breites Spektrum spezialisierter Ermittlungssoftware: für die Überwachung und Analyse von Darknet-Infrastrukturen, für die forensische Auswertung von Kryptowährungstransaktionen, für die Verknüpfung von Daten aus unterschiedlichsten Quellen.

Wo kommerzielle Lösungen an ihre Grenzen stießen, entwickelten BLKA-Spezialisten eigene Skripte und Frameworks — maßgeschneidert für die spezifischen Anforderungen dieses Verfahrens. Sie automatisierten die Generierung von Ermittlungsakten, verarbeiteten Bestandsdaten in einem Umfang, der manuell undenkbar gewesen wäre, und ermöglichten eine erweiterte Kryptoanalyse sowie die rechtssichere Beweissicherung flüchtiger Daten. Daten, die ohne diesen Ansatz unwiederbringlich verloren gegangen wären. Eine wesentliche Rolle spielte auch die Kooperation der Zentralstelle Cybercrime Bayern mit dem niederländischen Forschungsinstitut TNO und dem Complexity Science Hub in Wien zur Weiterentwicklung des Dark Web Monitors bzw. von GraphSense.

 

© BLKA

Krypto Netzwerk Visualisierung

 

// Kapitel 04 — Die Spur

Jede Zahlung. Jede Adresse. Jeder Klick.

Die Plattformen verlangten von jedem Käufer zwei Dinge: eine Bitcoin-Zahlung und eine E-Mail-Adresse für den versprochenen Download-Link. BLKA-Ermittler verfolgten jede Transaktion akribisch durch die Blockchain und glichen sie mit den auf den Plattformen hinterlegten E-Mail-Adressen ab. Die Kombination dieser beiden Datenpunkte schuf eine eindeutige Verbindung zwischen einer realen Person und ihrem Kaufversuch – mit genauem Paket, Betrag und Zeitstempel.

Trotz der Anonymisierungsmaßnahmen wurden rund 600 Nutzer, die im Zeitraum Februar 2020 bis Juli 2025 Zahlungen veranlasst hatten, als potenzielle Tatverdächtige erfasst. Von diesen konnten bislang 440 Personen formal als Tatverdächtige identifiziert und konkreten Tathandlungen zugeordnet werden — weltweit, in Dutzenden von Ländern. 

Auf allen dem Täter zuordenbaren Plattformen transferierten rund 10.000 Nutzer weltweit insgesamt etwa 18 Bitcoin / 400.000 USD (Zeitwert Kaufdatum).

Die Ergebnisse wurden über Europol an Partnerbehörden weltweit übermittelt — zur weiteren Strafverfolgung in den jeweiligen Ländern.

© BLKA

Darknet-Domains Visualisierung 

 

// Kapitel 05 — Kinderschutz hat Priorität

Wenn Gefahr bekannt wird, zählt keine Statistik — nur das Kind.

Während der gesamten Verfahrensdauer wurde bekannten Gefahren für Kinder sofort entgegengetreten. Sobald sich Hinweise ergaben, dass Kinder bei Tatverdächtigen lebten, wurden die Verfahren an zuständige Justiz- und Polizeibehörden abgegeben, um umgehend geeignete Schutzmaßnahmen einzuleiten. Keine ermittlungstaktische Priorität stand je über der Sicherheit eines Kindes.

// Fallstudie — Bayern, August 2023

Der Tatverdächtige mit dem Totmannschalter.

Anfang August 2023: Durchsuchung bei einem 31-jährigen Familienvater aus dem Landkreis Starnberg. Der Mann hatte 20 USD auf die einschlägige Darknet-Plattform "CP Video HD" transferiert – er wollte ein Paket mit 70 GB an Material erwerben.

In der Wohnung fanden die Ermittler etwas Alarmierendes: mehrere sogenannte Totmannschalter – eine versteckte Vorrichtung, die bei einem Zugriff sofort die Stromversorgung kappen und so eine automatische Datenlöschung auslösen sollte. BLKA-Spezialisten hatten dies antizipiert und neutralisierten die Geräte rechtzeitig. Keine Daten gingen verloren.

Der Tatverdächtige ist inzwischen rechtskräftig verurteilt und lebt getrennt von Frau und Kind.

 

 

// Die Dimensionen

Die Zahlen sprechen.

// Ansehen

OP Alice — Die ganze Geschichte in 1 Minute.

 

// Kapitel 06 — Die Actiondays

9. März 2026. Gleichzeitige Durchsuchungen in ganz Deutschland.

Am 9. März 2026 startete die koordinierte Phase der OP Alice in Deutschland. An einem einzigen Tag wurden 14 Objekte in 9 Bundesländern durchsucht. Ermittler stellten elektronische Datenträger, Mobiltelefone und Computer sicher. 14 Tatverdächtige werden wegen Besitzverschaffung kinderpornografischer Inhalte gem. § 184b Abs. 3 StGB ermittelt.

Allein in Bayern fanden zwei Durchsuchungen statt – in den Landkreisen Main-Spessart und Forchheim.

9.–19. März: Die Welt macht mit.

Was in Deutschland begann, weitete sich schnell zu einer international koordinierten Operation aus. In den darauffolgenden zehn Tagen führten Strafverfolgungsbehörden in 23 Staaten eigene Maßnahmen gegen lokal identifizierte Tatverdächtige durch – basierend auf Ermittlungspaketen des BLKA, die über Europol weitergegeben worden waren.

Über die 23 aktiv beteiligten Staaten hinaus wurden zusätzlich 82 Beschuldigte in 28 weiteren Ländern identifiziert. Sie wurden im Wege internationaler Polizeikooperation an die jeweiligen nationalen Behörden übergeben — zur eigenständigen gefahrenabwehrenden Bearbeitung vor Ort. OP Alice war damit keine Operation mit festen Grenzen, sondern ein Verfahren, dessen Reichweite letztlich jeden Winkel der Welt berührte, in dem jemand eine dieser Plattformen aufgerufen und bezahlt hatte.

 

// Die Rolle von Europol

Auf Ersuchen des BLKA übernahm Europol die internationale Koordination der OP Alice. Das bedeutet in der Praxis: Ermittlungspakete an 23 Partnerbehörden übermitteln, Zeitpläne abstimmen, Datenanalysen beitragen — damit an einem einzigen Tag in mehreren Ländern gleichzeitig gehandelt werden kann, ohne dass Tatverdächtige vorab gewarnt werden. Eine operative Rolle, die nach außen unspektakulär wirkt — und intern über Erfolg oder Misserfolg einer internationalen Operation entscheiden kann.

 

 

// Kapitel 07 — Die Abschaltung

Stille im Darknet.

Irgendwann hört jedes Netzwerk auf zu antworten.

Am 17. März 2026 wurden 105 Server beschlagnahmt. Darauf befanden sich zum Zeitpunkt der Beschlagnahme über 373.000 einzelne Darknet-Seiten. Innerhalb kurzer Zeit war das gesamte Netzwerk, das der Betreiber über Jahre hinweg aufgebaut, repliziert und am Laufen gehalten hatte, offline. Wo vorher Plattformen lockten, erscheint jetzt ein Beschlagnahmebanner.

Wer eine der Seiten aufruft, sieht: OP Alice.

Was 373.000 Seiten im Darknet wirklich bedeuten.

Zahlen brauchen Kontext – gerade im Darknet, wo selbst Sicherheitsforscher nur schätzen können. Die gängige Schätzung: Zu einem beliebigen Zeitpunkt seien weltweit zwischen 50.000 und 100.000 .onion-Dienste aktiv erreichbar. OP Alice schaltete allein 373.000 ab. Das klingt wie ein Widerspruch – und das ist es auch, auf eine wichtige Art.

Denn dieser Fall zeigt genau das, was Forscher schon länger vermuten: Niemand weiß wirklich, wie viele Seiten im Darknet tatsächlich existieren. Crawling-Tools erfassen immer nur einen Ausschnitt dessen, was zu einem bestimmten Zeitpunkt erreichbar ist. Seiten, die temporär offline sind, versteckt hinter Passwörtern liegen oder – wie hier – tausendfach unter wechselnden Adressen repliziert wurden, tauchen in keiner Statistik auf.

Der Betreiber hat genau diesen blinden Fleck ausgenutzt. Durch das Klonen von 122 Plattformvarianten auf über 373.000 Adressen schuf er eine Infrastruktur, die in der Breite unsichtbar war – zu groß, zu zerstreut, zu unübersichtlich für klassische Messverfahren. Für ihn war das Tarnung durch Masse. Für die Ermittler war es ein Hinweis darauf, wie fundamental unterschätzt die Dimension krimineller Darknet-Infrastrukturen sein kann.

OP Alice ist damit nicht nur ein Ermittlungserfolg. Es ist auch ein Beleg dafür, dass die Dunkelziffer im Darknet – im wörtlichen Sinne – größer ist als bisher angenommen.

Zum Vergleich: Die Operation Onymous – eine der bis dahin größten Darknet-Operationen überhaupt – schaltete 2014 rund 400 .onion-Seiten ab. OP Alice übertrifft diesen Wert um das rund 930-fache.

// Was passiert nach einer Beschlagnahme?

Nach der Beschlagnahme der Server werden die betroffenen Webseiten mit einem offiziellen Banner versehen, das die Strafverfolgungsmaßnahme anzeigt. Sichergestellte Hardware – Festplatten, Server, Mobiltelefone, Computer – wird forensisch ausgewertet. Die darauf gespeicherten Daten können weitere Ermittlungsansätze liefern: Namen, Adressen, weitere Plattformen, Kommunikationsverläufe. Eine Beschlagnahme ist also nicht das Ende einer Ermittlung – sie ist oft der Beginn der nächsten Phase.

 

 

// 23 Staaten. Ein Ziel.

Gemeinsam. International. Entschlossen.

Von Europa über Nordamerika bis Australien – Strafverfolgungsbehörden rund um die Welt standen gemeinsam gegen sexuellen Missbrauch von Kindern im Darknet.

Deutschland Österreich Schweiz Belgien Dänemark Frankreich Italien Kroatien Litauen Niederlande Polen Portugal Rumänien Schweden Slowenien Spanien Tschechische Republik Ukraine Ungarn Australien Kanada USA Vereinigtes Königreich

 

// Kapitel 08 — Der Betreiber

Hinter 373.000 Seiten: wahrscheinlich ein einzelner Mann.

Im Zentrum dieses gesamten Netzwerks stand wahrscheinlich ein einzelner Betreiber – keine kriminelle Organisation, kein Syndikat, sondern eine Person, die die gesamte Infrastruktur von Grund auf aufgebaut und betrieben hat. Zwischen November 2019 und März 2026 betrieb er ein Servernetzwerk mit bis zu 287 Servern, die er hauptsächlich von deutschen Hosting-Anbietern gemietet hatte. Zum Zeitpunkt der Beschlagnahme waren noch 105 aktive Server vorhanden – alle in Deutschland.

Um Nutzer auf seine Plattformen zu lenken, betrieb der Betreiber auch eigene Dark-Web-Linkverzeichnisse und Suchmaschinen – im Wesentlichen seine eigene Dark-Web-Marketing-Infrastruktur, die Nutzer auf seine betrügerischen CSAM-Plattformen verwies.

Um die Geldspur zu verschleiern, nutzte er Kryptowährungs-Mixing-Dienste. BLKA-Ermittler durchdrangen auch diese Schicht — gemeinsam mit Experten von BKA und Europol gelang es dennoch, ihn als Tatverdächtigen zu identifizieren.

Die Identifizierung des Betreibers war das Ergebnis jahrelanger, hochspezialisierter Ermittlungsarbeit — keine der verwendeten Spuren lag offen. Daten mussten über Server-Sicherungen, forensische Auswertungen und Bestandsdatenanfragen bei externen Dienstleistern mühsam rekonstruiert werden, oft unter enormem Zeitdruck, weil viele dieser Daten flüchtig waren. Der Betreiber legte es darauf an, Ermittlungen ins Leere laufen zu lassen — und über weite Strecken erforderte das vom BLKA immer neue, angepasste Ermittlungsansätze. Die Ermittler hatten alle entscheidenden Erkenntnisse gesichert — und die Erfahrung aus diesem Verfahren zeigte: Weitere Zeit würde keine neuen Erkenntnisse bringen, die einen Aufschub gerechtfertigt hätten. Also wurde gehandelt.

Er ist derzeit auf freiem Fuß und wird mit internationalem Haftbefehl gesucht.

// Internationaler Haftbefehl — was bedeutet das?

Der Betreiber hält sich nach aktuellem Kenntnisstand in der Volksrepublik China auf. Zwischen Deutschland und China besteht kein bilaterales Auslieferungsabkommen — eine zwangsweise Überstellung ist damit unter den aktuellen Umständen nicht möglich.
Der internationale Haftbefehl entfaltet dennoch Wirkung: Er ist über Interpol weltweit hinterlegt. Sobald der Betreiber chinesisches Territorium verlässt und einen Staat betritt, der mit Deutschland kooperiert, kann er festgenommen und überstellt werden.
Die Ermittlungen dauern an. Die Fahndung auch.

 

// Profil des Verdächtigen

 

// A MESSAGE

你以为比特币让你隐身。You thought Bitcoin made you invisible.

你以为Tor地址能保护你。You thought a Tor address would protect you.

你以为没有人在看。You thought no one was watching.

 

我们一直在看We were watching.

全球已确认440名犯罪嫌疑人。调查仍在继续。犯罪主犯正被国际通缉。440 suspects identified worldwide. Investigations are ongoing. The operator is wanted internationally.

 

 

// Jetzt handeln

Was bedeutet das für euch?

 

// Partner

Gemeinsam. International. Entschlossen.